Jak donosi polski zespół ds. szybkiego reagowania na incydenty komputerowe CERT.pl, w sieci rozprzestrzeniane jest szkodliwe oprogramowanie o brzmiącej nazwie „AKTA CAŁE 1-20.exe”, którego celem jest wzbudzenie zaufania użytkownika nakłaniając go do uruchomienia niebezpiecznego z punktu widzenia bezpieczeństwa pliku.

Dlaczego o tym ostrzegamy? Otóż taka jest już nasza w tym rola, aby o wszelkich incydentach komputerowych informować Was wszystkich – potencjalne ofiary cyberprzestępczych kampanii. Sam atak z pewnością nie jest finezyjny, jednak jak pokazują poprzednie wydarzenia związane ze spamem „na Pocztę Polską” lub „na DLH” – z identyfikacją co jest spamem a co nie, wcale nie jest tak dobrze jak mogłoby się wydawać.

Robak Rebhip

Cyberprzestępcy rozsyłając szkodliwe dokumenty mają nadzieję, że ofiara otworzy niebezpieczny plik, który najprawdopodobniej podszywa się pod PDF lub pliki graficzne upublicznionych niedawno zdjęć akt afery podsłuchowej, które za sprawą Zbigniewa Stonogi, a wcześniej „nieznanych sprawców” ujrzały światło dzienne na chińskich serwerach.

Zdefiniowany malware jako robak Rebhip został odkryty już ładnych kilka lat wcześniej. Wygląda więc na to, że powrócił, lecz na całe szczęście większość oprogramowania antywirusowego skutecznie wykrywa go poprzez własne sygnatury lecznicze – według serwisu VirusTotal.

Malware po zainfekowaniu komputera wykonuje szereg zdefiniowanych instrukcji. Potrafi min.:

  • Wykradać hasła zapisane w Internet Explorer oraz Firefox – jego pierwsze próbki zidentyfikowane w 2009 roku atakowały wyłącznie przeglądarkę IE.
  • Powiela swoją kopię na wszystkie podłączone dyski przenośne oraz tworzy plik AUTORUN.INF, który pozwala mu na uruchomienie się w przypadku, kiedy opcja autostartu jest aktywna.
  • Potrafi oszukać firewall – wstrzykuje do procesów explorer.exe oraz iexplore.exe złośliwy kod i komunikuje się z serwerem C2. Omija w ten sposób firewalle, które dopuszczają do komunikacji sieciowej przeglądarkę.
  • Dodaje cztery swoje wpisy w rejestrze, aby umożliwić sobie uruchomienie podczas restartu systemu.

Co więcej, autorzy robaka wyposażyli go w funkcje wykrywające uruchomione niektóre procesy, które mogłoby wskazywać na działanie narzędzi wykorzystywanych do analizy i debuggowania szkodliwego oprogramowania.  

Złośliwe oprogramowanie implementuje również wiele metod, które pozwalają na uniknięcie środowisk do analizy. Bazują one na sprawdzeniu klucza instalacji systemu Windows, istnienia pewnych bibliotek DLL lub usług. Po wykradnięciu danych przesyłane one są pod adres w domenie no-ip.info, który rozwiązuje się na adres IP w sieci UPC. no-ip.info jest dostawcą usług “dynamicznego DNS”, co oznacza, że adres IP, na który rozwiązuje się nazwa domenowa może się szybko zmieniać. – cert.pl

P.S Gdybyście dostali coś takiego na maila prosimy o próbkę na malware(malpa)avlab.pl

AUTOR:

Adrian Ścibor

Podziel się